_ [AFT] 弱さに気づいてみる

趣味プログラマーとしての経験値を積むため、@IT: クロスサイトスクリプティング対策の基本 （@IT） を読んでみたら、あっという間に自分のスクリプトへの攻撃に成功してしまったのでした。入力チェックはしないといけないなぁと思いつつ面倒なので後回し、という典型的なパターンで脆弱性を作り出してましたよ。

やっぱりフォームでユーザ認証をしてクッキーでセッションを保存するとリスクが高まりますね。この方式を使っているアプリケーションを作るのがひとつの主眼ではあったんですが、導入の敷居が高くなるとしても、大人しく「.htpasswd 使ってください」としてしまったほうが楽で確実な方法かもなぁ……いまのところやりませんが。

というわけで、AFT シリーズにはクロスサイトスクリプティングに対する脆弱性があることをご報告いたします。できるだけ早く対策を施します。